将 GCP Cloud IAM 自定义角色的访问权限仅限于存储桶答案

【问题标题】：Limiting access of a GCP Cloud IAM custom role only to a bucket将 GCP Cloud IAM 自定义角色的访问权限仅限于存储桶
【发布时间】：2020-05-01 04:43:26
【问题描述】：

AWS 通过其 IAM policies 提供了一种方法来限制特定用户/角色对特定命名资源的访问。

例如以下权限：


    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::confidential-data",
        "arn:aws:s3:::confidential-data/*"
      ]
    }

将允许对confidential-data 存储桶及其内容的所有List* 和Get* 操作。

但是，通过 GCP 的custom roles 时，我找不到这样的选项。

现在，我知道对于 GCS 存储桶（这是我的用例），您可以创建 ACLs 以实现（或多或少？）相同的结果。

我的问题是，假设我创建了一个由someone@myaccount-googlecloud.com 标识的服务帐户，并且我希望此帐户对gs://mybucket-on-google-cloud-storage 具有读/写 权限，我应该如何格式化 ACL这样做？

（目前，从组织/文件夹/项目继承的其他权限对我来说并不重要）

【问题讨论】：

标签： google-cloud-platform google-cloud-storage google-cloud-iam

【解决方案1】：

来自documentation：

授予 服务帐户 foo@developer.gserviceaccount.com WRITE 访问 bucket example-bucket 的权限：

gsutil acl ch -u foo@developer.gserviceaccount.com:W gs://example-bucket

授予 服务帐户 foo@developer.gserviceaccount.com READ 访问 bucket example-bucket 的权限：

gsutil acl ch -u foo@developer.gserviceaccount.com:R gs://example-bucket

【讨论】：

【解决方案2】：

ACL的格式如下

{
  "bindings":[
    {
      "role": "[IAM_ROLE]",
      "members":[
        "[MEMBER_NAME]"
      ]
    }
  ]
}

请参考Google Docs

例如

{
 "kind": "storage#policy",
 "resourceId": "projects/_/buckets/bucket_name",
 "version": 1,
 "bindings": [
  {
   "role": "roles/storage.legacyBucketWriter",
   "members": [
    "projectEditor:projectname",
    "projectOwner:projectname"
   ]
  },
  {
   "role": "roles/storage.legacyBucketReader",
   "members": [
    "projectViewer:projectname"
   ]
  }
 ],
 "etag": "CAE="
}

【讨论】：